研究人員利用電磁訊號從Google邊緣 TPU 中竊取並複製了人工智慧模型,精準率高達 99.91%,暴露了人工智慧系統中的重大漏洞,並呼籲採取緊急保護措施。
研究人員已經證明,有可能在不直接入侵裝置的情況下竊取人工智慧(AI)模型。 這種創新技術不需要事先瞭解支援人工智慧的軟體或架構,是模型提取方法的一大進步。
關於這項工作的一篇論文的共同作者、 北卡羅來納州立大學電氣與電腦工程副教授艾登-艾蘇(Aydin Aysu)說:「人工智慧模型很有價值,我們不希望人們竊取它們。建立模型的成本很高,需要大量的計算資源。 但同樣重要的是,當模型被洩露或竊取時,模型也更容易受到攻擊--因為第三方可以研究模型並找出任何弱點。」
「正如我們在論文中指出的那樣,對人工智慧和機器學習裝置的模型竊取攻擊會破壞智慧財產權,損害模型開發者的競爭優勢,並可能暴露模型行為中蘊含的敏感資料,」論文第一作者、北卡羅來納州立大學博士生阿什利-庫里安(Ashley Kurian)說。
在這項工作中,研究人員竊取了在Google邊緣張量處理單元(TPU)上運行的人工智慧模型的超參數。
庫里安說:「實際上,這意味著我們能夠確定製作一個人工智慧模型副本所需的架構和具體特徵(稱為層細節)。因為我們竊取了架構和層細節,所以我們能夠重新建立人工智慧的高級功能。然後,我們利用這些資訊重新建立了功能性人工智慧模型,或者是該模型的一個非常接近的替代模型。」
研究人員之所以使用Google邊緣 TPU 進行展示,是因為它是一種商用晶片,廣泛用於在邊緣裝置上運行人工智慧模型--即終端使用者在現場使用的裝置,而不是用於資料庫應用的人工智慧系統。
庫里安說:「這種技術可以用來竊取運行在許多不同裝置上的人工智慧模型。只要攻擊者知道他們想要竊取的裝置,能夠在裝置運行人工智慧模型時瀏覽該裝置,並且能夠瀏覽具有相同規格的另一台裝置,這種技術就應該能夠奏效。」
這次展示中使用的技術依賴於對電磁訊號的監測。 具體來說,研究人員在 TPU 晶片頂部放置了一個電磁探針。 探針可提供人工智慧處理過程中 TPU 電磁場變化的即時資料。
感測器的電磁資料基本上為我們提供了人工智慧處理行為的'簽名',這是最簡單的部分。為了確定人工智慧模型的架構和層細節,研究人員將該模型的電磁特徵與在相同裝置上製作的其他人工智慧模型特徵資料庫進行了比較,在本例中指的是另一個Google邊緣 TPU。
研究人員如何才能「竊取」一個他們還沒有簽名的人工智慧模型呢? 這就是事情變得棘手的地方。但研究人員掌握了一種技術,可以估算出目標人工智慧模型的層數。 層是人工智慧模型執行的一系列順序操作,每個操作的結果都會為下一個操作提供資訊。 大多數人工智慧模型有 50 到 242 層。
庫里安說:「我們不會試圖重新建立模型的整個電磁特徵,因為這在計算上是難以承受的。我們已經收集了來自其他人工智慧模型的 5000 個第一層簽名。 因此,我們會將被盜的第一層簽名與我們資料庫中的第一層簽名進行比較,看哪一個最匹配。一旦我們逆向工程了第一層,我們就會選擇 5000 個簽名與第二層進行比較,這個過程一直持續到我們逆向工程了所有層,並有效地複製了人工智慧模型。」
研究人員在展示中表明,這種技術能夠以 99.91% 的精準率重新建立一個被盜的人工智慧模型。
研究人員已經定義並展示了這個漏洞,下一步就是開發並實施反制措施來防範它。
這項工作是在美國國家科學基金會(National Science Foundation)第 1943245 號基金的支援下完成的。研究人員向Google披露了他們發現的漏洞。
- 編譯自/ScitechDaily
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!